COMPROMISO DE INFRAESTRUCTURA SANITARIA – INE GUATEMALA [ESTADO: NO CONFIRMADO]

Se ha detectado una actividad maliciosa atribuida al actor de amenazas NemorisHacking, quien afirma haber vulnerado el portal de datos del Instituto Nacional de Estadística (INE) de Guatemala. El atacante sostiene haber exfiltrado información sensible que incluye registros de salud y datos personales de ciudadanos.

• Entidad Afectada: Instituto Nacional de Estadística (INE), Guatemala.
• Actor de Amenaza: NemorisHacking.
• Activos Comprometidos (Presuntos): Portal de datos (http://datos.ine.gob.gt) y la plataforma de gestión epidemiológica Go.Data.
• Volumen de la Brecha: Más de 10,000 registros individuales.
• Fecha de Detección: 1 de mayo de 2026.
• Estado: NO CONFIRMADO.

ANÁLISIS DE EVIDENCIA VISUAL Y TÉCNICA

Las capturas de pantalla y evidencias recopiladas por equipos de inteligencia muestran un acceso no autorizado a una instancia de la plataforma Go.Data (herramienta de la OMS utilizada para la investigación de brotes), lo que sugiere una vulnerabilidad crítica en la infraestructura de gestión de datos de salud:

1. Exposición de Datos Sensibles: El tablero de control (dashboard) visible muestra secciones críticas para la salud pública, tales como: “Casos”, “Contactos”, “Resultados de Laboratorio” y “Eventos”.
2. Contexto Epidemiológico: Se observan notificaciones sobre brotes activos en Guatemala y El Progreso, específicamente relacionados con COVID-19, lo que eleva la gravedad del incidente al comprometer inteligencia sanitaria nacional.
3. Nivel de Privilegios: El actor demuestra capacidad para interactuar con funciones de visualización de datos y gestión de derivaciones, lo que indica que el compromiso se realizó con un nivel de privilegios de usuario o administrador.

CONTEXTO DE AMENAZAS SIMULTÁNEAS EN GUATEMALA

Este incidente no ocurre de forma aislada. Guatemala atraviesa una crisis de ciberseguridad donde múltiples entidades públicas enfrentan amenazas persistentes infobae.com. Investigaciones recientes revelan que los agresores han logrado controlar portales críticos, alterando funciones operativas y publicando credenciales de acceso en canales abiertos de internet infobae.com.

Se destaca que la publicación directa de nombres de usuario y contraseñas en plataformas como la del Procurador General o la Superintendencia de Telecomunicaciones ha incrementado exponencialmente el riesgo operativo estatal infobae.com. En este escenario, la vulnerabilidad del INE se suma a una campaña activa de explotación de activos expuestos infobae.com.

RECOMENDACIONES DE RESPUESTA INMEDIATA

Ante la evidencia de acceso a sistemas de gestión de brotes, se insta a las autoridades correspondientes a ejecutar las siguientes medidas:

• Auditoría Forense de Go.Data: El INE y el Ministerio de Salud de Guatemala deben revisar exhaustivamente los logs de acceso de la plataforma Go.Data para identificar el vector de entrada y el alcance real de la exfiltración.
• Terminación de Sesiones y MFA: Se recomienda forzar el cierre de todas las sesiones activas en el portal de datos y establecer la obligatoriedad de la Autenticación de Múltiples Factores (MFA) para todo el personal técnico y administrativo.
• Monitoreo de Credenciales: Debido a la tendencia de los atacantes de publicar datos de acceso en canales de Telegram y foros públicos, es imperativo realizar una rotación masiva de credenciales administrativas.

CONCLUSIÓN

Los incidentes recientes, sumados al presunto compromiso del INE, evidencian una problemática estructural profunda: la ciberseguridad en Guatemala ha dejado de ser únicamente un asunto técnico para convertirse en una cuestión crítica de seguridad nacional, confianza institucional y protección de la salud pública.

La recurrencia, simultaneidad y el patrón de ataque observado sugieren una campaña activa y coordinada de explotación sobre las infraestructuras públicas y de gestión de datos vitales del país. La transición de ataques a registros civiles hacia el compromiso de plataformas epidemiológicas como Go.Data eleva el riesgo de la crisis a un nivel de impacto social y operativo sin precedentes.

Para las instituciones afectadas, y especialmente para el INE y el Ministerio de Salud, la prioridad inmediata debe centrarse en:

• Identificar persistencia: Detectar la presencia de web shells o accesos remotos no autorizados que permitan al atacante mantener el control.
• Revisar logs históricos: Realizar una auditoría forense de los registros de acceso para determinar el origen y la magnitud real de la exfiltración.
• Rotar credenciales: Implementar una renovación masiva de contraseñas y eliminar cualquier acceso basado en credenciales previamente comprometidas.
• Fortalecer el monitoreo: Establecer vigilancia continua sobre los activos expuestos y las plataformas de gestión de datos sensibles.
• Contener accesos no autorizados: Ejecutar protocolos de aislamiento y endurecimiento (hardening) de la infraestructura para detener la fuga de información.

Guatemala atraviesa un momento decisivo en su madurez digital. La capacidad de respuesta de las instituciones en los próximos días no solo definirá la contención de esta brecha, sino que determinará el impacto real de esta crisis en la seguridad y la estabilidad del país.